信息安(ān)全(quán)渗透测试
渗(shèn)透测(cè)试:是为了证明(míng)网(wǎng)络防御按(àn)照预期计划正常(cháng)运(yùn)行而提供(gòng)的一种机制(zhì)。不妨假设,你(nǐ)的公司定期更(gèng)新安全策略和程序,时时给系统打(dǎ)补丁,并采用了漏(lòu)洞扫描器等工具,以确(què)保所有补丁都已(yǐ)打(dǎ)上。如果你(nǐ)早已做(zuò)到了(le)这(zhè)些,为什么还要请(qǐng)外(wài)方进(jìn)行(háng)审查或渗透测试(shì)呢?因为,渗透测试能(néng)够独(dú)立地检查你的(de)网络(luò)策略,换句话说,就(jiù)是给你(nǐ)的系统(tǒng)安了一双(shuāng)眼(yǎn)睛。而且(qiě),进(jìn)行这类测试的,都是寻找网络系统安(ān)全漏洞的(de)专业(yè)人(rén)士。
服务简介
渗透测试:是为了证明网络防御按照预期计划正常运(yùn)行而(ér)提供的一种机制。不妨(fáng)假(jiǎ)设,你的公司定期更新(xīn)安全策略(luè)和程(chéng)序,时时给系统(tǒng)打补丁,并采用了漏洞扫描器等工具,以确保(bǎo)所有补丁都(dōu)已打上。如(rú)果你早已做到了这些(xiē),为什么还要请外(wài)方进行审(shěn)查或渗透(tòu)测试呢(ne)?因为,渗透测试能够独立地检查你的网络策略,换句(jù)话说(shuō),就是给你的(de)系统安了一双眼睛(jīng)。而且,进行(háng)这类测试的,都是寻找网(wǎng)络系(xì)统安全漏洞的专业人士。
渗透(tòu)测(cè)试流程:
1.前(qián)期交互阶段、情报搜集阶段、威胁建模阶段、漏洞分(fèn)析阶(jiē)段(duàn)、
2.渗透攻击阶段(Exploitation)、后渗透攻击阶段(怎么一直控(kòng)制(zhì),维持访问(wèn))、报告阶段。
3.攻击(jī)前:网络踩点、网络扫描、网络查(chá)点
4.攻击中:利(lì)用漏(lòu)洞信息进(jìn)行渗透(tòu)攻击(jī)、获取权(quán)限
5.攻击后:后渗透(tòu)维持攻击、文件拷(kǎo)贝、木马(mǎ)植入、痕迹(jì)擦除
1、黑箱测试
黑(hēi)箱测试又被称(chēng)为所谓(wèi)的“Zero-Knowledge Testing”,渗(shèn)透者完(wán)全(quán)处(chù)于对系统(tǒng)一无所知的状(zhuàng)态(tài),通常这类型测试,最初的信(xìn)息(xī)获取来自于DNS、Web、Email及各种公开(kāi)对外(wài)的服务(wù)器(qì)。
2、白盒测试
白盒(hé)测(cè)试与黑箱测试恰恰相反,测试者可(kě)以通过正常渠道向被(bèi)测单位取得各种资料(liào),包括网络拓扑(pū)、员工资料甚至网站(zhàn)或其它程序的代码片断,也能够与单(dān)位(wèi)的其它员(yuán)工(销售、程序员、管(guǎn)理者……)进行面(miàn)对(duì)面的沟(gōu)通。这类测试的目的是模拟企业内部(bù)雇员的越(yuè)权操作。
3、隐秘测试
1、主机操作(zuò)系统(tǒng)渗透
对Windows、Solaris、AIX、Linux、SCO、SGI等操(cāo)作系统本(běn)身进行(háng)渗透测试。
2、数据库系统(tǒng)渗(shèn)透
对MS-SQL、Oracle、MySQL、Informix、Sybase、DB2、Access等数据库(kù)应用系统进行渗透测(cè)试。
3、应(yīng)用系统(tǒng)渗(shèn)透
对(duì)渗透目标提供的各种应用,如ASP、CGI、JSP、PHP等组成(chéng)的WWW应(yīng)用进(jìn)行渗透(tòu)测试(shì)。
4、网络(luò)设备渗透
对各种防火墙、入侵(qīn)检测系统、网络设(shè)备进行渗透测(cè)试。
渗透(tòu)测(cè)试流程:
1.前(qián)期交互阶段、情报搜集阶段、威胁建模阶段、漏洞分(fèn)析阶(jiē)段(duàn)、
2.渗透攻击阶段(Exploitation)、后渗透攻击阶段(怎么一直控(kòng)制(zhì),维持访问(wèn))、报告阶段。
3.攻击(jī)前:网络踩点、网络扫描、网络查(chá)点
4.攻击中:利(lì)用漏(lòu)洞信息进(jìn)行渗透(tòu)攻击(jī)、获取权(quán)限
5.攻击后:后渗透(tòu)维持攻击、文件拷(kǎo)贝、木马(mǎ)植入、痕迹(jì)擦除
渗透测试分类(lèi):
1、黑箱测试
黑(hēi)箱测试又被称(chēng)为所谓(wèi)的“Zero-Knowledge Testing”,渗(shèn)透者完(wán)全(quán)处(chù)于对系统(tǒng)一无所知的状(zhuàng)态(tài),通常这类型测试,最初的信(xìn)息(xī)获取来自于DNS、Web、Email及各种公开(kāi)对外(wài)的服务(wù)器(qì)。
2、白盒测试
白盒(hé)测(cè)试与黑箱测试恰恰相反,测试者可(kě)以通过正常渠道向被(bèi)测单位取得各种资料(liào),包括网络拓扑(pū)、员工资料甚至网站(zhàn)或其它程序的代码片断,也能够与单(dān)位(wèi)的其它员(yuán)工(销售、程序员、管(guǎn)理者……)进行面(miàn)对(duì)面的沟(gōu)通。这类测试的目的是模拟企业内部(bù)雇员的越(yuè)权操作。
3、隐秘测试
隐秘测试是对(duì)被(bèi)测单(dān)位而(ér)言的,通常(cháng)情况下,接受渗透测试的单位网(wǎng)络(luò)管(guǎn)理部门会收(shōu)到通知(zhī):在某些时(shí)段进行测试。因此能够监测网(wǎng)络(luò)中出现的(de)变(biàn)化。但隐秘测试则(zé)被测单位也(yě)仅(jǐn)有(yǒu)极少数人知(zhī)晓测试的(de)存在,因此能够有效地检验单位(wèi)中(zhōng)的信息安全事件(jiàn)监控、响应、恢复做得(dé)是否(fǒu)到位。
1、主机操作(zuò)系统(tǒng)渗透
对Windows、Solaris、AIX、Linux、SCO、SGI等操(cāo)作系统本(běn)身进行(háng)渗透测试。
2、数据库系统(tǒng)渗(shèn)透
对MS-SQL、Oracle、MySQL、Informix、Sybase、DB2、Access等数据库(kù)应用系统进行渗透测(cè)试。
3、应(yīng)用系统(tǒng)渗(shèn)透
对(duì)渗透目标提供的各种应用,如ASP、CGI、JSP、PHP等组成(chéng)的WWW应(yīng)用进(jìn)行渗透(tòu)测试(shì)。
4、网络(luò)设备渗透
对各种防火墙、入侵(qīn)检测系统、网络设(shè)备进行渗透测(cè)试。
服务优势(shì)
效.png)
安全高效
技术先进
位.png)
服务到位
案灵活.png)
方案灵活
